Transfert de données personnelles vers les États-Unis - le Tribunal de l’Union européenne valide le Data Privacy Framework par Joachim WATHELET
Le Tribunal de l’Union européenne (TUE, 3 sept. 2025, aff. T. 552/23) a rejeté le recours introduit par le député Philippe Latombe contre le Data Privacy Framework (DPF), la nouvelle décision d’adéquation adoptée par la Commission européenne en juillet 2023 pour encadrer les transferts de données personnelles vers les États-Unis. Ce mécanisme succède au Safe Harbor et au Privacy Shield, invalidés respectivement en 2015 (Schrems I) et 2020 (Schrems II), et vise à assurer que les données transférées bénéficient d’un niveau de protection jugé « adéquat » au sens du RGPD.
Pour contester ce cadre, le requérant avançait quatre moyens principaux : absence d’un tribunal indépendant et impartial, insuffisance de l’encadrement des collectes massives par les agences de renseignement américaines, absence de garantie contre les décisions automatisées produisant des effets juridiques, et insuffisance des mesures de sécurité prévues par le DPF.
La question de l’irrecevabilité du recours
À titre préalable, le Tribunal de l’Union européenne choisit de ne pas se prononcer sur l’exception d’irrecevabilité soulevée par la Commission. À titre préalable, le Tribunal de l’Union européenne choisit de ne pas se prononcer sur l’exception d’irrecevabilité soulevée par la Commission. Il considère que, puisque le recours est dépourvu de fondement, il est préférable, dans un souci de bonne administration de la justice, d’examiner directement son bien-fondé, sans statuer au préalable sur la recevabilité.
Le Tribunal fait ainsi preuve de pragmatisme : plutôt que de s’arrêter sur la question sensible de savoir si un citoyen peut attaquer directement une décision d’adéquation, il préfère se placer sur le terrain du fond et confirmer la légalité du Data Privacy Framework.
La question de la recevabilité d’un recours introduit par un particulier ou une ONG contre une décision d’adéquation — qui demeure un acte de portée générale — reste donc incertaine. Jusqu’à présent, la CJUE a été amenée à se prononcer sur la validité de tels actes par le biais de questions préjudicielles posées par des juridictions nationales.
La question de l’absence d’un tribunal indépendant et impartial
Le Tribunal de l’Union européenne s’est prononcé sur la conformité de la Data Protection Review Court (DPRC) au regard de l’article 47, deuxième alinéa, de la Charte et de l’article 45, paragraphe 2, du RGPD. Il relève que cette juridiction, créée par l’Executive Order 14086 et par le règlement du procureur général, a été instituée comme un organe indépendant, chargé de réexaminer les décisions du Civil Liberties Protection Officer. Les règles de nomination et de révocation de ses juges, encadrées par des critères précis et soumises à la consultation du Privacy and Civil Liberties Oversight Board, sont considérées comme de nature à garantir leur indépendance et leur impartialité, d’autant qu’une révocation ne peut intervenir que pour un motif valable. Le Tribunal note également que l’Executive Order interdit toute influence indue du pouvoir exécutif sur le travail de la DPRC. Il estime enfin que l’absence de loi adoptée par le Congrès pour instituer cette juridiction ne fait pas obstacle à sa reconnaissance, dès lors que le droit américain offre des garanties substantielles équivalentes à celles prévues par le droit de l’Union. Constatant que les insuffisances relevées par la Cour de justice dans l’arrêt Schrems II ont été corrigées, le Tribunal conclut que la DPRC assure aux citoyens européens un recours juridictionnel effectif et rejette le moyen dans son intégralité.
La question de la collecte en vrac de données personnelles par les agences de renseignement
Le Tribunal examine ensuite si la Commission a violé les articles 7 et 8 de la Charte en considérant que le droit américain assurait un niveau de protection adéquat en matière de collecte en vrac de données par les agences de renseignement. Il relève d’abord qu’aucun élément de l’arrêt Schrems II n’impose une autorisation préalable délivrée par une autorité indépendante, la jurisprudence exigeant seulement un contrôle juridictionnel a posteriori. Or, l’Executive Order 14086 et le règlement du procureur général soumettent les activités de renseignement à un tel contrôle exercé par la DPRC, tout en fixant des conditions limitatives et des garanties spécifiques applicables à la collecte en vrac.
Le Tribunal écarte ensuite les arguments fondés sur l’arrêt La Quadrature du Net et l’arrêt Big Brother Watch de la Cour européenne des droits de l’homme, en précisant que ces décisions ne sont pas directement transposables à la situation en cause. Il rappelle que la Commission n’a pas à vérifier que les règles du pays tiers soient identiques à celles de l’Union, mais seulement qu’elles soient substantiellement équivalentes. Dans ce cadre, il considère que l’absence d’autorisation préalable à la collecte initiale en vrac ne suffit pas à remettre en cause le caractère adéquat de la protection, dès lors que le droit américain prévoit un ensemble de garanties juridiques et institutionnelles, ainsi qu’un droit de recours effectif devant la DPRC.
Enfin, le Tribunal constate que l’avis 5/2023 du Comité européen de la protection des données n’a qu’une valeur consultative et ne lie pas la Commission.
La question de la violation de l’article 22 du RGPD (décision fondée exclusivement sur un traitement automatisé).
Le requérant reprochait à la Commission de n’avoir pas garanti, dans la décision d’adéquation, le droit des personnes concernées à ne pas faire l’objet de décisions entièrement automatisées, au sens de l’article 22 du RGPD. Le Tribunal relève d’abord que la décision attaquée distingue plusieurs hypothèses : lorsque le responsable du traitement est établi dans l’Union, lorsque le traitement est confié à un sous-traitant à l’étranger agissant pour le compte d’un responsable de l’Union, ou encore lorsque le responsable ou le sous-traitant non établi dans l’Union cible directement des personnes situées dans l’Union. Dans tous ces cas, les acteurs restent soumis au RGPD, y compris à son article 22. Les situations échappant à ce champ d’application sont résiduelles et concernent uniquement certaines organisations américaines qui collectent directement des données sans offrir de biens ou de services ni suivre le comportement de personnes dans l’Union. Pour ces hypothèses, le droit américain prévoit des protections sectorielles, notamment en matière de crédit, d’emploi, de logement, d’assurance ou de santé, offrant aux individus un droit à l’explication ou à la contestation des décisions automatisées.
Le Tribunal juge que ces garanties, bien que différentes de celles prévues dans l’Union, assurent un niveau de protection substantiellement équivalent.
Il rejette également l’argument fondé sur l’étude de 2018 commandité par la Commission en 2018. Le requérant faisait valoir que ce document, réalisé dans le cadre du Privacy Shield, n’était pas pertinent pour apprécier la situation actuelle, marquée selon lui par l’essor rapide de l’intelligence artificielle et des décisions automatisées. Pour Philippe Latombe, cette étude, antérieure à l’adoption du Data Privacy Framework, ne pouvait constituer une base sérieuse pour évaluer le niveau de protection offert par les États-Unis en 2023.
Le Tribunal adopte une position inverse. Il rappelle que l’étude de 2018 avait conclu au caractère très marginal des décisions entièrement automatisées adoptées par les entreprises américaines participant au Privacy Shield. Cette conclusion a d’ailleurs été confirmée par un rapport de la Commission publié en 2019, qui relevait non seulement la rareté de telles pratiques mais aussi leur absence d’effets juridiques ou significatifs pour les personnes concernées. Ces éléments montrent, selon le Tribunal, que le recours aux décisions automatisées restait exceptionnel et encadré.
En outre, le Tribunal insiste sur le fait que le requérant n’a fourni aucune preuve contraire. L’argument tenant au développement de l’intelligence artificielle est jugé trop général et insuffisamment étayé. Aucune donnée concrète n’a été produite pour démontrer que des entreprises américaines auraient, depuis 2018, eu recours de manière significative à des décisions automatisées concernant les citoyens européens.
La question de la sécurité des données
Enfin, le Tribunal s’est prononcé sur le cinquième moyen, par lequel le requérant reprochait à la Commission d’avoir considéré que les États-Unis assuraient un niveau de protection substantiellement équivalent en matière de sécurité du traitement des données, au sens de l’article 32 du RGPD. Selon le député, les principes prévus par le Data Privacy Framework ne garantissaient pas la mise en place de mesures techniques et organisationnelles suffisantes, en particulier lors de la simple consultation de données personnelles transférées depuis l’Union.
Le Tribunal rejette cette argumentation. Il rappelle que la Commission n’a pas l’obligation d’exiger des dispositions identiques à celles du RGPD, mais seulement de vérifier que le droit américain offre des garanties équivalentes dans leur substance. Or, les principes contenus dans l’annexe I de la décision attaquée imposent aux organisations américaines certifiées de mettre en œuvre des mesures raisonnables et adéquates pour prévenir toute perte, divulgation, modification ou destruction des données. Ces obligations doivent être interprétées à la lumière des considérants de la décision, qui reprennent la logique de l’article 32 RGPD en exigeant que les responsables du traitement tiennent compte de l’état de la technique, des coûts, de la nature des données et des risques encourus.
Surtout, le Tribunal souligne que la notion d’« utilisation » des données, retenue dans les principes du Data Privacy Framework, inclut nécessairement leur consultation. Dès lors, il ne saurait être soutenu que les textes américains excluent cette opération de l’obligation de sécurité. En considérant que le cadre américain impose bien des mesures de protection couvrant l’ensemble des opérations de traitement, y compris la consultation, le Tribunal estime que la Commission a pu valablement conclure à l’existence d’un niveau de protection substantiellement équivalent.
La suite ? Une validation du DPF « à la date de la décision attaquée ».
La décision du Tribunal ne met pas un terme définitif au contentieux. Il peut faire l’objet d’un pourvoi devant la Cour de justice de l’Union européenne, limité aux seules questions de droit, dans un délai de deux mois et dix jours.
En statuant, le Tribunal a examiné la situation juridique telle qu’elle existait au moment où la Commission a adopté la décision d’adéquation. Le Communiqué de Presse le souligne explicitement : le Tribunal « confirme que, à la date de la décision attaquée, les États-Unis assuraient un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers organisations établies dans ce pays ».
Cette appréciation demeure donc tributaire du contexte politique. Les récentes initiatives opérées par l’administration Trump pourraient menacer la pérennité de l’édifice. Maître Etienne Wery souligne en ce sens que ces « initiatives relèvent en effet la fragilité de certains mécanismes mis en place, par exemple l’indépendance de la DPRC ou la facilité avec laquelle le président, agissant sans le contrôle du législateur, peut réévaluer le cadre juridique des activités de renseignement ». En d’autres termes, le dispositif mis en place pour garantir la protection des données personnelles a été conçu rapidement par décision présidentielle, mais il pourrait tout aussi rapidement être remis en cause par une nouvelle orientation de l’exécutif.
Ainsi, si la Cour de justice venait à être saisie, elle pourrait adopter une lecture plus large, prenant en compte l’évolution du cadre américain et de sa capacité à garantir une protection pérenne. Une telle approche pourrait conduire à une appréciation moins favorable.
À ce stade toutefois, la décision du Tribunal apporte une réponse rassurante aux entreprises européennes qui transfèrent ou stockent des données aux États-Unis, en leur assurant une sécurité juridique indispensable.
Joachim WATHELET
Maître de conférences - Délégué à la protection des données personnelles (DPO certifié AFNOR)
#RGPD #DonnéesPersonnelles #ProtectionDesDonnées #DataPrivacyFramework #CJUE #DroitNumérique #CyberSécurité #LegalTech #TransfertsDeDonnées #lawprofiler